LastPass è un mucchio di problemi, di cui almeno uno consente a un utente malintenzionato di compromettere il gestore di password in remoto secondo Google ricercatore Tavis Ormandy.
LastPass è uno dei più popolari online servizi di gestione password su Internet oggi. Il servizio offre le estensioni per i vari browser, mobile e soluzioni dedicate per i vari sistemi operativi e dispositivi.
Una relazione completa è stato inviato a LastPass da Tavis Ormandy e sembra che la società è al lavoro sull’analisi e la risoluzione dei problemi, al momento della scrittura.
I problemi non sono stati resi noti pubblicamente di sicurezza. Mentre che è la cosa giusta da fare fino a quando non sono fissi, significa che LastPass gli utenti in realtà non so se il problema può essere risolto fino a una correzione è fornito.
Aggiornamento: LastPass rilasciato un aggiornamento di sicurezza per Firefox add-on. Secondo un post sul blog sul sito ufficiale, un utente malintenzionato potrebbe attirare un LastPass utente a un sito dannoso per eseguire LastPass azioni in background senza che l’utente sappia di loro. Questo è stato risolto in LastPass 4.0 di Firefox.
Ulteriori informazioni sul problema segnalato sono disponibili sul Progetto Zero forum oltre a Chromium.org.
LastPass Remoto Compromesso vulnerabilità
Le uniche informazioni che vengono fornite le seguenti due tweet:
Sono persone veramente usando questo lastpass cosa? Ho dato un’occhiata veloce e può vedere un sacco di evidente criticità. Ti invio un report al più presto.
Full rapporto inviato a LastPass, che stanno lavorando su di esso ora. Sì, si tratta di un completo remoto compromesso. Sì, io ti prometto di guardare 1Password.
Considerando che, non è chiaro se funzioni come l’autenticazione a due fattori o l’uso di altre security add-ons di proteggere gli utenti e i dati da attacchi. In realtà, non è nemmeno chiaro se LastPass’ di rete e delle infrastrutture, l’estensione per il browser, applicazioni mobili o altri prodotti non sono interessati da questa vulnerabilità.
Può benissimo essere che solo l’estensione per il browser è interessato, visto che è più probabile che Tavis preso uno sguardo a causa della sua disponibilità per il browser Chrome.
Il ricercatore di sicurezza ha impostato il suo sguardo sul prossimo password manager, 1Password, che è il prossimo in base a un messaggio su Twitter.
Gestori di Password archiviazione di dati critici. Questo li rende uno dei programmi più importanti per un utente, e un lucroso bersaglio per gli hacker.
I comunicati problema di sicurezza non è il primo incidente in LastPass’ di storia. Nel 2015, LastPass ha confermato che è rilevato attività sospette sulla rete aziendale. Solo di recente, un altro problema è stato segnalato e risolto il permesso agli aggressori di estrarre le password utilizzando l’estensione della funzionalità di riempimento automatico.
LastPass è di solito molto reattivo e veloce quando si tratta di eseguire la correzione di problemi di sicurezza che interessano i prodotti dell’azienda. Provvederemo ad aggiornare l’articolo quando le nuove informazioni vengono alla luce.